
Una nueva campaña de fraude bancario utiliza señuelos ClickFix para dirigirse a clientes de bancos, fintechs, procesadores de pagos e intercambios de cifrado en México.
Este grupo de actividades, rastreado por Elastic Security Labs como REF6045, implica infectar a las víctimas a través de una página de verificación CAPTCHA falsa que las engaña para que ejecuten comandos maliciosos que instalan un kit de herramientas de PowerShell llamado SCMBANKER. Algunos componentes de este malware se remontan a octubre de 2025.
Los investigadores de seguridad Jia Yu Chan y Salim Bitam dijeron: «Una vez instalados, los operadores pueden ver cuando una víctima abre una sesión bancaria, bloquear la pantalla detrás de una alerta bancaria falsa, atraer a la víctima a una conversación telefónica real, redirigir el navegador o reemplazar los números de cuenta copiados en el portapapeles». «También se pueden implementar herramientas comerciales de acceso remoto para una adquisición completa».
SCMBANKER está diseñado específicamente para abordar el ecosistema financiero mexicano y existe evidencia de que se utilizan modelos de lenguaje a gran escala (LLM) para desarrollar gran parte de la herramienta. El kit de herramientas admite una amplia gama de funciones, incluida la supervisión de sesiones bancarias, captura de pantalla, superposiciones de vishing, redirección de phishing, manipulación del portapapeles e instalación remota de utilidades.
Los hallazgos de Elastic surgen de una falla de seguridad operativa en la infraestructura REF6045 que permitió recuperar un archivo ZIP que contenía el directorio raíz web operativo completo de un directorio abierto ubicado en «68.211.161(.)46».
El punto de partida es una verificación CAPTCHA falsa disfrazada de una página de verificación de seguridad, lo que lleva a las víctimas potenciales a resolver un desafío similar a Google reCAPTCHA para identificar imágenes que contienen bocas de incendio. Una vez que se completen los pasos, se le pedirá que copie y pegue el comando malicioso en el cuadro de diálogo Ejecutar de Windows.
Esto desencadena la ejecución de un script por lotes que instala el malware a través de un proceso de varios pasos que comienza con una pantalla de actualización de Windows falsa.
«El script por lotes inicia inmediatamente Microsoft Edge en modo quiosco apuntando a fakeupdate(.)net, un conocido sitio de pruebas de penetración/equipo rojo que muestra pantallas falsas de Windows Update», dijo Elastic. «Esta distracción gana tiempo hasta que el guión se ejecute por completo».

En la siguiente etapa, el script verifica si se está ejecutando como administrador y, en caso contrario, inicia un mensaje de Control de cuentas de usuario (UAC) de Windows cada 20 segundos, convenciendo efectivamente a la víctima de hacer clic en (Sí) en el cuadro de diálogo de consentimiento. Bloquea el movimiento del mouse tan pronto como obtiene altos privilegios. Este comportamiento, combinado con una pantalla de actualización de Windows falsa, obliga a la víctima a quedarse y le da al malware tiempo suficiente para descargar un conjunto completo de herramientas en segundo plano utilizando la herramienta bitsadmin del mismo directorio.
Una vez que el componente SCMBANKER se descarga en un host comprometido, establece la persistencia usando la carpeta de inicio de Windows y la tecla Ejecutar del registro, luego envía mediante programación un evento de pulsación de tecla F11 para salir de la pantalla completa e inicia una secuencia de pulsación de teclas «Ctrl+W» para cerrar la pestaña falsa de Actualización de Windows.
«Sin embargo, este enfoque sólo funciona en una ventana de navegador estándar de pantalla completa y no en modo quiosco», dijo Elastic. «Luego use el comando apagado /r /t 02 y cambie para forzar un reinicio. Una vez reiniciado, el mecanismo de persistencia anterior a través de la clave Ejecutar en el registro activará la ejecución del archivo VBScript (‘run.vbs’)».
Un script de Visual Basic actúa como un iniciador maestro que ejecuta varios módulos en paralelo.
edifhjwe.ps1, cliente.ps1 para actualizaciones automáticas del kit de herramientas, avs.ps1 para balizas de comando y control (C2) y controles de implante, Clip.ps1 y Clip2.ps1 para descargar el instalador RAT de Remote Utilities para facilitar el acceso práctico a las máquinas víctimas, CLABE para números de cuentas y tarjetas, secuestro del portapapeles para redireccionar transacciones Correr.ps1, PowerShell ini.ps1 arbitrario para ejecución: Lanzador para «jujuzkt.ps1». Una herramienta de seguimiento de la actividad bancaria que comprueba cada segundo todos los títulos de las ventanas mostradas para ver si coinciden con una lista de instituciones financieras mexicanas y, si encuentra una coincidencia, toma una captura de pantalla y registra las pulsaciones de teclas. rotator2.ps1: Envoltorio para «mensaje1.ps1». Motores de vishing que proporcionan superposiciones falsas que muestran advertencias de seguridad que indican a las víctimas que llamen a un número de teléfono específico. remo.ps1: Lanzador de «jujuzkt2.ps1» controlado por dirección IP. Un redirector del navegador que compara el título de la ventana con una lista. Si la URL configurada existe, coloca la URL de phishing en el portapapeles, inicia el navegador y envía una serie de eventos de pulsación de teclas (Ctrl+L, Ctrl+V, Enter) para dirigir a la víctima a la página de inicio de phishing.
Uno de esos destinos de redireccionamiento, «’bancaporinternetbbmx(.)online», contiene un script de notificación de Telegram de carga de página que recopila detalles del navegador, del dispositivo y de la dirección IP y envía la información a un chat de Telegram, alertando al operador que la víctima redirigida ha caído en la tentación de sufrir ataques posteriores.
«El guión muestra fuertes signos de ayuda de la IA, muy probablemente al generar un modelo de lenguaje grande en español y luego aplicar manualmente la ofuscación», dijo Elastic.
«El código tiene una naturaleza dual, con nombres de funciones concisos y descriptivos y abundantes comentarios explicativos colocados junto a variables acortadas manualmente y artefactos generados restantes. Los comentarios similares a instrucciones colocados directamente encima del código escrito sugieren que el autor utilizó un asistente de codificación en línea como Copilot o Cursor».
En conjunto, estos hallazgos representan el trabajo de los actores de amenazas que confiaron en la IA para crear conjuntos de herramientas toscos que se caracterizan mejor por copiar y pegar archivos por lotes, mala artesanía y fallas de seguridad operativa.
«Las víctimas se mantienen como una fuente pasiva mientras el operador monitorea un panel en vivo, interactuando solo con objetivos que valen la pena, activando redireccionamientos del navegador, bloqueos de vishing, intercambios de portapapeles o RAT completos por IP a pedido», concluyeron los investigadores. «Aunque es tosco, SCMBANKER ya tiene víctimas reales. Un contador de víctimas en vivo y máquinas etiquetadas y marcadas en el propio panel del operador indican que se está atacando activamente a personas individuales.»
Source link
